CVE-2009-0556

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2026-01-07

Официальное описание

Microsoft Office PowerPoint contains a code injection vulnerability that allows remote attackers to execute arbitrary code via a PowerPoint file with an OutlineTextRefAtom containing an invalid index value that triggers memory corruption.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2009-0556 представляет собой критическую ошибку повреждения памяти (Memory Corruption) в Microsoft Office PowerPoint.

  • Вектор атаки: Злоумышленник создает специально подготовленный файл презентации (обычно в формате .ppt), содержащий структуру OutlineTextRefAtom с некорректным значением индекса.
  • Механизм эксплуатации: При открытии такого файла уязвимая версия PowerPoint пытается обработать невалидный индекс, что приводит к выходу за границы буфера и повреждению памяти.
  • Последствия: Успешная эксплуатация позволяет злоумышленнику выполнить произвольный код (RCE) в контексте текущего пользователя. Если пользователь работает с правами администратора, атакующий получает полный контроль над скомпрометированной системой.

Как исправить

Основным и наиболее надежным способом устранения данной уязвимости является установка официального патча от Microsoft или обновление продукта до поддерживаемой версии.

  • Установите обновление безопасности, выпущенное в рамках бюллетеня MS09-017.
  • Настройте автоматическое обновление операционной системы и продуктов Microsoft Office через WSUS или SCCM.
  • Для принудительного поиска и установки обновлений на локальном хосте используйте модуль PSWindowsUpdate:
Install-WindowsUpdate -MicrosoftUpdate -AcceptAll -AutoReboot
  • Поскольку уязвимость затрагивает устаревшие версии продукта (Office 2000, 2002, 2003, 2007), настоятельно рекомендуется полностью отказаться от их использования и мигрировать на актуальные версии (Microsoft 365 или Office 2021).

Временные меры

Если оперативная установка патча или обновление версии Office невозможны, необходимо применить компенсирующие меры защиты (Workarounds).

  • Блокировка устаревших форматов на почтовом шлюзе: Настройте правила фильтрации электронной почты для блокировки вложений с расширениями .ppt и .pps. Пример создания правила для Microsoft Exchange:
New-TransportRule -Name "Block_Legacy_PPT_CVE-2009-0556" -AttachmentExtensionMatchesWords "ppt","pps" -RejectMessageReasonText "Legacy PowerPoint formats are blocked due to security policies."
  • Использование политик File Block: Настройте групповые политики (GPO) или внесите изменения в реестр для запрета открытия файлов PowerPoint бинарных форматов (PowerPoint 97-2003). Пример блокировки через реестр для Office 2007:
New-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Office\12.0\PowerPoint\Security\FileBlock" -Name "BypassDef" -Value 1 -PropertyType DWord -Force
  • Ограничение прав пользователей: Убедитесь, что пользователи работают в системе с минимально необходимыми привилегиями (Standard User). Это не предотвратит эксплуатацию, но существенно ограничит возможности злоумышленника после выполнения кода.
  • Использование Microsoft Office Isolated Conversion Environment (MOICE): Настройте конвертацию старых бинарных форматов (.ppt) в новые форматы на базе XML (.pptx) в изолированной среде перед их открытием.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей